次の方法で共有

Microsoft Entra ID 保護の通知

  • [アーティクル]

Microsoft Entra ID 保護は、ユーザー リスクとリスク検出の管理に役立つ次の 2 種類の自動通知メールを送信します。

  • 危険な状態のユーザーが検出されたときのメール
  • 週刊ダイジェスト メール

この記事では、両方の通知メールの概要を説明します。

メモ

グループに割り当てられた役割のユーザーには、メールの送信をサポートしていません。

重要

既定では、有効な「メール」または「代替メール」が構成されている場合、グローバル管理者、セキュリティ管理者、セキュリティ閲覧者の役割がアクティブに割り当てられているユーザーは、このリストに自動的に追加されます。 ユーザーがこれらの役割のいずれかにオンデマンドで昇格するように PIM に登録されている場合、メールが送信される時点で昇格されている場合にのみ、メールを受信します

危険な状態のユーザーが検出されたときのメール

検出されたリスクのあるアカウントの対応として、Microsoft Entra ID 保護は「危険な状態のユーザーが検出された」という件名のメール アラートを生成します。 メールには、リスクのフラグ付けされたユーザーレポートへのリンクが含まれます。 ベスト プラクティスとして、危険な状態のユーザーを直ちに調査する必要があります。

このアラートを構成すると、アラートを生成するユーザー リスク レベルを指定できます。 ユーザーのリスク レベルが指定したものに達すると、メールが生成されます。 たとえば、「中」のユーザー リスクにアラートを出すようにポリシーを設定し、リアルタイムのサインイン リスクが原因でユーザーのリスク スコアが「中」リスクに移行した場合、危険な状態のユーザーが検出されたときメールを受信します。 ユーザーのリスク レベルの計算が指定されたリスク レベル (またはそれ以上) に達する後続のリスク検出が行われた場合、ユーザー リスク スコアが再計算された際、危険な状態のユーザーが検出されたときのメールをさらに受信します。 たとえば、ユーザーが 1 月 1 日に「中」リスクに移行した場合、中リスクのときにアラートを出すように設定すると、メール通知を受信します。 1 月 5 日に同じユーザーに対して別のリスク検出が行われ、ユーザー リスク スコアが再計算されてもまだ「中」だった場合、別のメール通知を受信します。

ユーザー リスク レベルの変更が最後のメールが送信されたときよりも後の場合、追加のメール通知が送信されます。 たとえば、1 月 1 日の午前 5 時にユーザーがログインし、リアルタイム リスクがないこととします (そのログインが原因でメールが生成されないことを指します)。 10 分後の午前 5:10 に同じユーザーが再びログインし、リアルタイム リスクが高くなり、ユーザー リスク レベルが「高」に移行してメールが送信される原因を引き起こします。 その後、午前 5:15 に、午前 5 時に行われた元のログインのオフライン リスク スコアが、オフライン リスク処理によって高リスクに変わります。 最初のログインの時刻は、既にメール通知をトリガーした 2 回目のログインより前だったため、リスクのフラグ付けされたユーザーのもう 1 通のメールは送信されません。

メールの過負荷を防止するため、5 秒の期間内に 1 通のメールのみ受信します。 同じ 5 秒の期間に複数のユーザーが指定されたリスク レベルに移行した場合、データが集約されて全員に 1 通のメールが送信されます。

Microsoft Entra ID 保護のユーザー エクスペリエンス」の記事で説明されているように、組織で自己修復を有効にしている場合、調査を実施する機会がある前に、ユーザーが自分のリスクを修復する可能性があります。 危険なユーザーまたは危険なサインインのいずれかのレポートに [リスクの状態] フィルターに [修復済み] を追加することにより、既に修復されている危険なユーザーや危険なサインインを確認できます。

危険な状態のユーザーが検出されたときのアラーの構成

管理者として、次の内容を設定できます。

  • このメールの生成をトリガーするユーザー リスク レベル - 既定では、リスク レベルは「高」リスクに設定されます。
  • このメールの受信者
    • 必要に応じて、[こちらにでカスタム メールの追加] ことができます。定義されているユーザーは、リンクされたレポートを閲覧するために適切なアクセス許可が必要です。

[保護]>[ID 保護]>[危険な状態のユーザーが検出されたアラート][Microsoft Entra 管理センター] で、危険な状態のユーザーのメールを構成します。

週刊ダイジェスト メール

週刊ダイジェスト メールには、新しいリスク検出の概要が含まれます。
次の情報が含まれます。

  • 新たに検出された危険なユーザー
  • 新たに検出された危険なサインイン (リアルタイムで)
  • ID 保護で関連するレポートへのリンク

週刊ダイジェスト メールのサンプルを示すスクリーンショット。

週刊ダイジェスト メールの構成

管理者として、週刊ダイジェスト メールの送信を有効または無効に切り替えて、メールを受信するユーザーの割り当てを選択することができます。

[Microsoft Entra 管理センター]>[保護]>[ID 保護]>[週刊ダイジェスト] で週刊ダイジェスト メールを構成します。

関連項目